Sicherheitstechnik
Angriff aus dem Cyberspace

sicherheit.jpg

Hotels verfügen über zahlreiche Daten ihrer Gäste, von Kreditkarten- bis hin zu ganz persönlichen Informationen. Wer an die Daten gelangen will, hat oft leichtes Spiel – Cyberkriminalität wird noch immer unterschätzt. Sogar vor Erpressung schrecken Hacker nicht zurück.

Erst Mitte Oktober sorgte der Datenklau von Kreditkarteninformationen bei Hyatt für Aufsehen. Das Unternehmen wurde bereits zum zweiten Mal in diesem Jahr gehackt – und zwar im großen Stil. Die Täter installierten eine sogenannte Malware auf den Hyatt-Systemen, diese übermittelte dann sämtliche Gästedaten an die Hacker. Generell sehen IHA und Dehoga in der zunehmenden Digitalisierung und Vernetzung ein großes Risiko für Angriffe. Offizielle Zahlen oder Beispiele von betroffenen Hotels liegen in Deutschland jedoch nicht vor. Doch obwohl Hotelverbände ihre Mitglieder laufend mithilfe von Vorträgen oder Seminaren sensibilisieren und zahlreiche Ketten sich den Datenschutz auf die Fahnen schreiben – nicht jedes Hotelmanagement ist aufgeklärt und schützt sich ausreichend. Da ist sich auch Ivan Bütler sicher. Er ist selber Hacker – allerdings kein krimineller. Der Schweizer nutzt sein Wissen, um Firmen vor Angriffen aus dem Internet zu schützen und gründete das Ethical-Hacking-Unternehmen Compass Security. »Die Aufklärung der Hotels über aktuelle Bedrohungen ist ein laufender Prozess – das Internet entwickelt sich ständig weiter.« Zahlreiche neue Chancen wie etwa Bitcoin oder Internet of Things seien Trends, denen auch Hotels folgen möchten – der Spagat zwischen der Nutzung dieser neuen Geschäftschancen und der entsprechenden Absicherung der Bedrohung gelinge laut Bütler allerdings nicht immer. »Sicherheit ist ein mühsamer Aspekt, welcher mit Kosten und weniger Usability gekoppelt ist. Darum gewinnt meist der Kundennutzen und die Security erhält keine oder die zweite Priorität.«

Die Schwachstellen wurden auch jüngst in der Diskussionsrunde auf der Plattform der Zürcher Hoteliers deutlich. Nicht nur Bütler warnte davor, sondern unter anderem auch der Staatsanwalt des Kantons Zürich, Stephan Walder. Sehr oft ginge es bei der Cyberkriminalität nämlich um Erpressung. Hacker installieren Malware auf den Sytemen des Hotels – ähnlich wie bei Hyatt. Allerdings verschlüsseln diese Programme zahlreiche Daten und fordern zur Freischaltung Lösegeld. So geschehen Anfang des Jahres im Hotel von Elio Frapolli in Dietikon (Schweiz). Er ist den Forderungen nachgekommen – und musste dennoch im Nachhinein die gesamte Hard- und Software im Hotel austauschen, was den Hotelier insgesamt rund 100.000 Franken kostete.

In Ivan Bütlers Augen sind gerade Hotels so verwundbar, weil Fremde die Gäste leichter ausspionieren können als in deren Zuhause. Worauf es ein Hacker abgesehen hat, sei ganz unterschiedlich – Kreditkartendaten, persönliche Informationen, oder vertrauliche und geheime Infos von Laptops und Handys. Das Hotel sei auch ein idealer Ort, um Personen zu orten, deren Bewegungen und Kommunikationsverhalten zu analysieren oder auch Trojaner und andere Malware auf die persönlichen Geräte der Hotelgäste zu pflanzen. Wirklich schwierig sei es für einen Profi dabei nicht, ein Hotel oder dessen Gäste zu hacken. »Es kommt einfach darauf an, wie gut der Angreifer ausgerüstet ist«, so Bütler.

Neue Technologien wie Smart-TVs oder digitale Zimmerschlüssel spielen den Hackern dabei in die Karten – denn Hoteliers sehen zunächst den Mehrwert für den Gast und lassen, so Bütler, Sicherheitsaspekte außen vor. »Erst wenn etwas passieren sollte – wenn beispielsweise via eingebaute Kamera des SmartTV irgendwelche unpässlichen Inhalte an die Öffentlichkeit gelangen – wird diese Technik auch als Gefahr und Bedrohung wahrgenommen«, warnt der IT-Experte.

Jedes Hotel sollte sich – und damit auch die Gäste – vor Angriffen aus dem Internet im Vorhinein schützen. So ist es zum Beispiel ratsam, ein effektives Risikomanagement einzuführen, so Alexander Fritz, Geschäftsführer der Fritz&Fritz Risikoberatung. Es gibt für Hotels und Unternehmen einen speziellen Versicherungsschutz. Zum einen ist das eine Eigenschadenversicherung (»Cyber-Versicherung«), die Ansprüche Dritter und deren Abwehr bei Verletzung des Datenschutzes, der Vertraulichkeit und des Persönlichkeitsrechts umfasst. Zum anderen deckt eine sogenannte Cyber-Haftpflicht Schäden durch eigenes Verschulden ab.

Ivan Bütlers Vorschlag: »Ein IT-Sicherheitsbeauftragter sollte sich über die neuen Cyber-Bedrohungen im Klaren sein und ein Abwehr-Sicherheitsdispositiv aufbauen.« Zudem sollte es einen Notfallplan geben, falls ein Cyber-Ereignis eintritt. Dennoch betont er: »Niemand ist vor einer Hackerattacke 100-prozentig sicher.« Sollte ein Hotel Opfer der Cyberkriminalität werden, müsse es seine Sicherheitsmaßnahmen überarbeiten und Anpassungen vornehmen. Der Hotelverband Deutschland rät außerdem dazu, so schnell wie möglich Kontakt mit der Polizei aufzunehmen.